Andrea Baldi ESA/ESRIN V Incontro GARR Roma 25.11.2003

Transcript

Mobilita’ in ESA
ESACOM WLAN
e
e
Andrea Baldi ESA/ESRIN
V Incontro GARR
Roma 25.11.2003
Informatics Department
Directorate of Administration
Contenuti
o ESA ed i suoi requisiti di mobilita’
o Prima e dopo l’avvento delle reti wireless
o La ESACOM Wireless LAN
o Il progetto ESACOM WLAN
o Le scommesse tecniche
o Il Disegno della ESACOM WLAN
o Conclusioni
e
ESA
EUROPEAN SPACE AGENCY
o ESA e’ un’ organizzazione internazionale con lo
scopo di promuovere l’ utilizzo di scienza, ricerca &
sviluppo e applicazioni nel campo spaziale
o ESA ha sedi in tutto il mondo con grande
concentrazione in Europa
‰ Oltre 30 siti interconnessi in Wide Area Network
‰ Oltre 4000 utenti della rete
‰ Manager, ricercatori, tecnici, amministrativi e
visitatori
e
Siti ESA
Kiruna
ESTEC (Noordwijk)
Establishments
Offices
Brussels
ESA Paris
Toulouse
ESA ground stations
Ground stations used by ESA
Ariane downrange stations
Villafranca
CDN
Washington
Houston
e
Kourou
Redu
EAC Cologne
ESOC (Darmstadt)
ESRIN (Frascati)
Fucino
Moscow
Maspalomas
Libreville
Natal
Malindi
Ascension
Perth
Requisiti di Mobilita’ in ESA
o Mobilita’ Interna al campus
‰ Movimento di personale dagli uffici in sale riunioni ed
aree dedicate a progetti per lavoro collaborativo
‰ Visitatori che regolarmente fanno business con ESA
o Altissima mobilita’ fra i siti principali
‰ 25.000 missioni l’anno con 50 persone in missione
con frequenza settimanale
‰ Per riunioni, seminari, attivita’ di progetto, eventi
o ESA staff in visita ad altre organizzazioni
‰ Agenzie spaziali o partner nazionali ed Internazionali
come Nasa, ASI, DLR, CNES
o ESA organizza workshop e confererenze con
e
massiccia partecipazione di esterni
Prima della Wireless LAN
o Prima della Wireless LAN
‰ Ci si doveva spostare con raccoglitori pieni di carta,
dischetti e cdrom
‰ Si doveva pianificare con grande anticipo
spostamenti, installazioni e dimostrazioni da fare
‰ Si doveva conoscere il luogo esatto delle riunioni e
quali attrezzature erano disponibili sul sito
‰ Molto spesso le informazioni necessarie per svolgere
il proprio lavoro non erano a disposizione in tempo o
mancava sempre qualche cosa
o La Wireless LAN fornisce una risposta precisa ai
requisiti precedentemente esposti ed una soluzione
pratica ai problemi elencati
e
Con la Wireless LAN
o Gli utenti oggi si spostano con il loro laptop ed
hanno accesso a tutti i servizi esistenti sulla rete
esattamente come nel proprio ufficio (posta,
database, agenda, applicazioni, Internet).
o Tutto cio’ si traduce in
‰ Efficienza ed incremento della produttivita’
‰ Sfruttamento di tempi morti nelle riunioni
‰ Flessibilita’
‰ Accesso ai servizi ed alle informazioni
indipendentemente dal luogo
‰ ........ ma anche nuovi problemi da affrontare
e
La ESACOM WLAN
o La ESACOM WLAN e’ la rete Wireless installata nei
4 siti principali dell’ ESA per rispondere ai requisiti di
mobilita’ del proprio personale e dei suoi visitatori.
o Copre al momento 60 sale pubbliche destinate a
riunioni e conferenze e sale dedicate a progetti
o Altre 20 sale sono gia’ fase di allestimento
‰ molte delle quali dedicate a progetti per lavoro
collaborativo
o Nuovi siti pianificati nel 2004
o Conta ad oggi 500 utenti
o 1000 utenti, previsti per il 2004
e
Il Progetto e Le Sue Fasi
o Un progetto IT tradizionale:
‰ Definizione
‰ Approvazione
‰ Analisi
‰ Implementazione Pilota
‰ Disegno
‰ Implementazione
‰ Test e Accettazione
‰ Roll out
‰ Operazioni
‰ Evoluzione
e
Attivita’ Importanti
o Studio della tecnologia Wireless
o Definizione dei requisiti con il supporto di un working
o
o
o
o
o
o
group sulla mobilita’
Realizzazione di un pilota
Analisi dei costi e del ritorno dell’ investimento (ROI)
Identificazione delle risorse umane e pianificazione
Definizione del concetto operativo e delle policy di
accesso
Survey dei siti e installazione
Analisi dei rischi legati agli aspetti di sicurezza
e
Survey Dei Siti
o Essenziale per produrre le
specifiche dettagliate
‰ Definizione e disegno dei canali
‰ Selezione dell’antenna
‰
‰
‰
‰
‰
appropriata
Determinazione dei parametri
radio
Analisi delle interferenze RF
Roaming
Requisiti di cablaggio
Requisiti alimentazione
l
Power over the Ethernet
e
‰ Fotografia dell’ambiente
429 430
ROOM B
ELEVATOR
FOYER
344
247
ROOM A
345 - 368
248
249
153 154 140 139
R38
ELEVATOR
ELEVATOR
KANTINE
250 - 268
ELEVATOR
138
R32
137
R31
VIP
124
R30
R28
123
R22
114
115
R19
401
ELEVATOR
403
301
ELEVATOR
302
2001
ELEVATOR
2002
201
ELEVATOR
202
101
ELEVATOR
102
R01
ELEVATOR
R02
KANTINE / COFFEE CORNER
Sicurezza
o Il WEP (Wired Equivalent Protocol), parte dello
standard 802.11, e’ insicuro
‰ Progettato per indirizzare sia l’autenticazione che la
criptografia risulta carente su entrambi i fronti
‰ Confidenzialita’
l
l
l
riutilizzo dello stream cifrato
vettore di Inizializzazione non cifrato
la stessa chiave usata per tutte le stazioni
‰ Integrita’
l il CRC usato come controllore dell’integrita’ non e’
crittograficamente sicuro
‰ Autenticazione
l basata su indirizzo Mac e non su credenziali
l si autentica solo il cliente (rouge access point)
e
Sicurezza
o Lo standard 802.11b fallisce nel definire come
devono essere distribuite le chiavi
‰ La distribuzione statica delle chiavi non scala oltre
poche unita’
l
l
va bene per casa
ma impossibile da gestire gia’ in una piccola azienda
‰ Se chi possiede la chiave lascia l’organizzazione o
un PC viene perduto/rubato e’ necessario cambiare
le chiavi per tutti.
o WEP e’ stato violato
‰ http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html
e
Sicurezza
o Nelle reti Wireless esiste il requisito per un piu’
elevato livello di sicurezza
‰ Mutua Autenticazione
l Utente --> Rete,
l Rete --> Utente
‰ Gestione dinamica delle chiavi
l diverse per ogni utente,
l per ogni sessione
l ed uso limitato net tempo
‰ Controllo degli accessi alla rete
‰ Monitoraggio
‰ Accounting (per WISP)
e
Alternative al WEP
o SSH o IPSEC
‰ Solo per la criptografia
l Sicuro ma difficile da implementare
l Piu’ alto costo, prestazioni meno scalabili, roaming
problematico
o 802.1x (LAN port authentication) e EAP (Extensible
Authentication Protocol)
‰ Mutua autenticazione
l dell’utente da parte della rete
l della rete da parte dell’utente
‰ trasportabile su ogni link protocol
‰ Supporta diversi tipi di autenticazione
l EAP-TLS, TTLS, PEAP, LEAP
e
802.1x
EAPOW
Authenticator
EAP
Over
Radius
Authentication
Server
Radius
EAPOL
Supplicant
Window Domain
Controller
e
Autenticazione
o PEAP: Protected Extensible Authentication Protocol
‰ PEAP usa un tunnel sicuro per il metodo EAP
‰ Mutua autenticazione ma non supporta metodi
tradizionali come PAP e CHAP
o EAP-TLS
‰ Mutua autenticazione ma richiede certificati sia sul
server che sui clienti.
‰ Complessa da gestire senza un’ infrastruttura PKI
‰ I clienti si autenticano sulla rete con un metodo EAP
o con un metodo tradizionale come PAP,CHAP, MS
CHAP, o MS CHAP V2.
e
Autenticazione
o TTLS (Tunneled Transport Layer Security)
‰ simile a TLS ma senza la distribuzione di certificati sui
clienti. Il certificato risiede solo sul server
‰ i clienti autenticano il server sul tunnel criptato
‰ dopo l’ autenticazine il dialogo prosegue utilizzando le
chiavi scambiate in fase di autenticazione
o LEAP proprietario CISCO (Lighweight Extensible
Authentication Protocol)
‰ Altamente diffuso, e’ stato il primo metodo disponibile
sul mercato a rispondere ai problemi del WEP
‰ CISCO ha messo le specifiche a disposizione dei piu’
importanti produttori WiFi (supportato da Apple
Airport, Intel Centrino)
e
Scelte Per ESACOM WLAN
o Tecnologia basata su IEEE standards
‰ Standard 802.11b come Wireless LAN
‰ Autenticazione 802.1x con CISCO LEAP
l Unica soluzione completa ragionevolmente sicura
disponibile nel 2002
o Soluzione basata su fornitore unico
‰ Cisco
l PC Cards: Cisco Aironet 350
‰ Supporto per MAC OS X, Linux oltre a Windows
l
l
l
Access points: Cisco Aironet 350/1200
AAA Servers: CISCO ACS
Gestione , aggiornamento, monitoraggio Wireless LAN
‰
e
Cisco Wireless LAN Solution Engine
Disegno Di ESACOM WLAN
AAA Server
CISCO ACS
NT PDC
Border
Router
DHCP
DHCP
ESA
ISN
ESA
ESN
Firewall
AP
e
Internet
AP
WLSE
ESACOM WLAN AAA Servers
ESRIN ACS
CISCO
LEAP
ESTEC ACS
e
ESOC ACS
ESACOM
IP VPN
CISCO
LEAP
CISCO
LEAP
ESAHQ ACS
NUOVA ESACOM WLAN
AAA Server
CISCO ACS
Active DIRECTORY
DHCP
WLSE
ESA
ISN
ESA
ESN
Border
Router
DHCP
Internet
Firewall
ESA
VLAN/WLAN
e
Dual Band
SSID/VLAN
AP
Visitor
VLAN/WLAN
Operazioni
o Operazioni della Rete Wireless effettuate attraverso
una stazione di management dedicata
‰ Gestione e mantenimento dell’infrastruttura
l Aggiornamento del firmware e delle configurazioni
l riconfigurazione veloce degli apparati per eventi
particolari
‰ Supporto all’ utente
l Sito WEB
l Helpdesk
l Tecnici
‰ Procedure Operative
‰ Evoluzione
e
Nuove Scommesse
o Analisi ed integrazione di nuovi standard
‰ 54Mbps: 802.11G 2.4 GHz, & 802.11A GHz,
‰ 802.11E Qualita del Servizio (QoS)
‰ 802.11F Inter Access Point Protocol (IAPP)
‰ 802.11I Sicurezza (WPA: WiFi Protected Access)
o WiFi Hotspot per utenti spesso fuori sede con
accesso via IPSEC e https
o Ad hoc networking & Zerooconf
o Voce su WLAN (VoWLAN)
e
Conclusioni
o ESACOM WLAN ha rivoluzionato il modo di lavorare
degli utenti ESA ed e’ uno fra i servizi piu’
apprezzati nel 2003
o Le scommesse tecniche da affrontare per la
realizzazione di una rete wireless sicura richiedono
competenze su tutti i fronti IT
‰ Standard, Sicurezza, IP , LAN, RF, Cablaggio
o La Sicurezza ha un ruolo fondamentale
o C’e’ differenza fra installare la rete wireless a casa o
in una realta’ aziendale
o Si apriranno nuove ed entusiasmanti possibilita’ per
avvicinarsi al concetto di ubiquita’
e
Riferimenti
WiFi Alleance
Cisco Wireless
Zeroconf
WiFi planet
IEEE
Oreilly
WEP
802.1x
802.1x
Apple Airport
AirDefense
TERENA Mobilty
WiFi hotspots
AAA
e
http://www.wi-fi.org/
http://www.cisco.com/en/US/tech/tk722/tech_topology _and_network_serv _and_protocol_suite_home.html
http://www.zeroconf.org/
http://www.wi-fiplanet.com/
http://www.ieee802.org/
http://wireless.oreilly.com/
http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html
http://www.mtghouse.com/
http://www.funk.com/
http://www.apple.com/airport
http://www.airdefense.net/
http://www.terena.nl/tech/index_mobility.html
http://www.wi-fihotspotlist.com/
http://www.surfnet.nl/innovatie/wlan/

Andrea Baldi ESA/ESRIN V Incontro GARR Roma 25.11.2003

Transcript

Documenti analoghi

Che cosa comunicare al paziente?

KIT AllArme WIreleSS - GSm

Programma Cisco Networking Academy

View event flyer PDF

I nuovi risultati della missione ESA Planck

Progetto WiFi Lab

Italian Legislative Decree 30 June 2003 n° 196 Internal data

Istituto Superiore Mario Boella (ISMB)

Data sheet: Wireless Network Security Camera N150